分類

示例

數(shù)據(jù)

保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃報告、用戶手冊、各類紙質(zhì)的文檔等

軟件

系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等

應用軟件：辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等

源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等

硬件

網(wǎng)絡設備：路由器、網(wǎng)關、交換機等

計算機設備：大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等

存儲設備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等

傳輸線路：光纖、雙絞線等

保障設備：UPS、變電設備、空調(diào)、保險柜、文件柜、門禁、消防設施等

安全設備：防火墻、入侵檢測系統(tǒng)、身份鑒別等

其他：打印機、復印機、掃描儀、傳真機等

服務

信息服務：對外依賴該系統(tǒng)開展的各類服務

網(wǎng)絡服務：各種網(wǎng)絡設備、設施提供的網(wǎng)絡連接服務

辦公服務：為提高效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務

人員

掌握重要信息和核心業(yè)務的人員，如主機維護主管、網(wǎng)絡維護主管及應用項目經(jīng)理等

其他

企業(yè)形象、客戶關系等

類型

識別對象

脆弱性子類

技術脆弱性

物理環(huán)境

機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通訊線路的保護、機房區(qū)域防護、機房設備管理等

網(wǎng)絡結(jié)構(gòu)

網(wǎng)絡結(jié)構(gòu)設計、網(wǎng)絡傳輸加密、網(wǎng)絡設備安全漏洞、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡設備安全配置等

服務器/系統(tǒng)軟件

補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡安全、系統(tǒng)軟件安全漏洞、軟件安全功能管理等

數(shù)據(jù)庫

補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡和服務設置、備份恢復機制、審計機制等

應用系統(tǒng)

審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通訊、鑒別機制、密碼保護等

應用中間件

協(xié)議安全、交易完整性、數(shù)據(jù)完整性等

管理脆弱性

技術管理

物理和環(huán)境安全、通訊和操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性等

組織管理

安全策略、組織安全、信息資產(chǎn)分類與控制、人員安全、符合性等

種類

描述

威脅子類

軟硬件故障

對業(yè)務實施或系統(tǒng)運行產(chǎn)生影響的設備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷等問題

設備硬件故障、傳輸設備故障、存儲媒體故障、????????????????? 系統(tǒng)軟件故障、應用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等

物理環(huán)境影響

對信息系統(tǒng)正常運行造成影響的物理環(huán)境問題和自然災害

斷電、靜電、灰塵、潮濕、溫度、洪災、火災、地震、暴風雨、潮汐、污染、空調(diào)設備故障、鼠蟻蟲害、電磁干擾等??????????

操作失誤

應該執(zhí)行而沒有執(zhí)行相應的操作，或無意執(zhí)行了錯誤的操作

維護錯誤、操作失誤、提供錯誤的指南或操作信息等

管理不到位

安全管理無法落實或不到位，從而破壞信息系統(tǒng)正常有序運行

管理制度和策略不完善、管理規(guī)程缺失、職責不明確、監(jiān)督控管機制不健全等

惡意代碼

故意在計算機系統(tǒng)上執(zhí)行惡意任務的程序代碼

病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件、攜帶惡意軟件的垃圾郵件、流氓安全軟件、即時消息垃圾郵件等

越權(quán)或濫用

通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為

非授權(quán)訪問網(wǎng)絡資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息、非授權(quán)使用存儲介質(zhì)等

網(wǎng)絡攻擊

利用工具和技術通過網(wǎng)絡對信息系統(tǒng)進行攻擊和入侵

網(wǎng)絡探測和信息采集、漏洞探測、嗅探（賬號、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞、拒絕服務攻擊、僵尸網(wǎng)絡、隱蔽式下載、名譽劫持、網(wǎng)絡黑客的入侵等

物理攻擊

通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞

物理接觸、物理破壞、盜竊、勒索、罷工、內(nèi)部員工蓄意破壞等

泄密

信息泄露給不應了解的他人

內(nèi)部信息泄露、外部信息泄露等

篡改

非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用

篡改網(wǎng)絡配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務數(shù)據(jù)信息等

抵賴

不承認收到的信息和所作的操作和交易

原發(fā)抵賴、接受抵賴、第三方抵賴等